Эксплуатация уязвимостей сайтов и других публично доступных веб-приложений — один из самых популярных способов проникновения в инфраструктуру российских компаний.
По оценке специалистов BI.Zone Waf, наибольшую долю таких атак (36%) в 2024 году составляет удаленное исполнение кода (RCE). У этой атаки самые опасные последствия: в случае успеха злоумышленник может полностью захватить контроль над сервером веб‑приложения, а значит, подменять контент, красть или удалять данные, получать доступ к системным ресурсам.
В медицине и строительстве на эти угрозы приходится около половины всех атак — 53% и 47% соответственно. В IT, ритейле и туризме доля RCE‑атак также превышает общегодовой показатель. К наиболее популярным векторам таких атак относятся инъекции команд операционной системы (OS command injection) — 46% RCE‑атак, а также локальное/удаленное включение файлов (local/remote file inclusion) — 40%.
Cамым ярким трендом стал более чем трехкратный рост (220%) доли разведывательных атак: если в первой половине 2024 года она составляла 6,8% от общего числа веб‑угроз, то во второй — уже порядка 22%. В эту категорию попадают нелегитимные запросы от специальных утилит, сканеров и фаззеров, которые автоматизированно ищут слабые места в коде веб‑ресурсов.
Этому типу атак за год больше всего подвергались компании в сфере медиа (54%), промышленности (47%), финансов и страхования (31%). Эксперты ожидают, что разведывательный трафик будет встречаться еще чаще из‑за распространения инструментов на базе ИИ и машинного обучения. Они снижают порог входа для злоумышленников: чтобы описать запрос для модели, не требуется техническая квалификация, которая важна для ручного развертывания, настройки и обработки результатов работы сканеров. Кроме того, инструментарий для разведки становится доступнее, уменьшая стоимость атак.
При этом, уверены эксперты по кибербезопасности, было бы заблуждением считать, что атаки на сайты с целью взлома направлены только на крупные и ценные с точки зрения киберпреступника ресурсы.
«Сегодня боты непрерывно сканируют миллионы веб‑приложений в поисках уязвимых точек. Когда находится способ развить атаку, подключаются люди и оценивают ее перспективность. Если усилий не требуется, например из‑за устаревшего ПО, могут сначала взломать сайт, а потом уже выбрать способ монетизации: украсть данные и продать, применить их для фишинга, атаковать клиентов и партнеров взломанной организации», - предупреждает руководитель управления облачных решений BI.Zone Дмитрий Царев.
По данным BI.Zone Waf, в 2024 году атаки на используемые российскими компаниями веб‑приложения шли из 99 стран. При этом 96% попыток взлома проводилось с IP‑адресов, связанных с пятью государствами. Топ‑5 возглавляет Россия (84%). Такой высокий процент объясняется тем, что в ответ на геоблокировку запросов злоумышленники используют сервисы подмены IP‑адреса (прокси, туннелирование) и арендуют серверы внутри страны. Далее в списке следуют Германия (5,7%), США (3,7%), Нидерланды (1,6%) и Чехия (0,9%).
Фото: BI.Zone